在尝试读取由自身写入的subjectAltName / otherName / UTF8值时,似乎OpenSSL被破坏:
相关的openssl.cnfconfiguration(使用正式但随机的OID):
[alt_names] DNS.1 = www.foo.com DNS.2 = www.bar.org IP.1 = 192.168.1.1 IP.2 = 192.168.69.144 email = email@me otherName = 1.3.6.1.4.1.1;UTF8:some other identifier 从此configuration生成的CSR转储的样本:
TLS Web Server Authentication X509v3 Subject Alternative Name: DNS:www.foo.com, DNS:www.bar.org, IP Address:192.168.1.1, IP Address:192.168.69.144, email:email@me, othername:<unsupported> Signature Algorithm: sha1WithRSAEncryption 6f:4a:1d:8f:43:7e:4d:d1:0c:7e:05:9d:1f:f0:98:b1:69:cf:
有人可以指出我是否做错了什么? 这使我疯狂。
2010年的<unsupported>输出是常规结果。我的猜测是:这仍然是这种情况。
一位OpenSSL开发人员在邮件列表上 (Archived here )说:
Steven Hensen,2010-01-02:
目前OpenSSL不显示任何otherName值。 由于格式完全是任意的,因此无法全面了解该领域的确切含义。 充其量它可以不包含内容。
如果在文件上使用openssl asn1parse来查找:X509v3 Subject Alternative Name部分的偏移量,然后otherName偏移量使用-strparse选项,则实际上会显示otherName 。